توانایی سازمان ها برای به دست آوردن ارزش از Kubernetes - و به طور گسترده تر، فناوری بومی ابری - به دلیل نگرانی ها در مورد امنیت مختل شده است. یکی از بزرگترین نگرانی ها منعکس کننده یکی از بزرگترین چالش های فعلی صنعت است: ایمن سازی زنجیره تامین نرم افزار.
کلاه قرمزی”گزارش وضعیت کوبرنتیس در سال 2023" دریافتند که امنیت Kubernetes در برخی از شرکت ها مورد سوال است. بر اساس یک نظرسنجی از متخصصان DevOps، مهندسی و امنیت از سراسر جهان، این گزارش نشان میدهد که 67 درصد از پاسخدهندگان به دلیل نگرانیهای امنیتی Kubernetes، استقرار آن را به تأخیر انداخته یا کند کردهاند، 37 درصد درآمد یا از دست دادن مشتری را به دلیل یک کانتینر/Kubernetes تجربه کردهاند. حادثه امنیتی، و 38٪ امنیت را به عنوان نگرانی اصلی در مورد استراتژی های کانتینر و Kubernetes ذکر می کنند.
زنجیره تامین نرم افزار به طور فزاینده ای مورد انتقاد قرار گرفته است و فروشگاه های Kubernetes گرما را احساس می کنند. پاسخ دهندگان به نظرسنجی Red Hat وقتی از آنها پرسیده شد که کدام مسائل امنیتی زنجیره تامین نرم افزار خاص را بیشتر مورد توجه قرار می دهند:
- اجزای برنامه آسیب پذیر (32%)
- کنترل های دسترسی ناکافی (30%)
- فقدان صورتحساب های نرم افزاری مواد (SBOM) یا منشأ (29%)
- عدم اتوماسیون (29%)
- عدم توانایی ممیزی (28%)
- تصاویر ظرف ناامن (27%)
- اجرای سیاست متناقض (24%)
- نقاط ضعف خط لوله CI/CD (19%)
- الگوهای IaC ناامن (19%)
- نقاط ضعف کنترل نسخه (17%)
به نظر میرسد این نگرانیها در میان پاسخدهندگان به خوبی پایهگذاری شده است، و بیش از نیمی از آنها خاطرنشان کردهاند که تقریباً با همه آنها تجربه دست اولی دارند - به ویژه اجزای برنامه آسیبپذیر و نقاط ضعف خط لوله CI/CD.
همپوشانی زیادی بین این موضوعات وجود دارد، اما سازمان ها می توانند با تمرکز بر یک چیز، نگرانی در مورد همه آنها را به حداقل برسانند: محتوای قابل اعتماد.
توانایی اعتماد به محتوا به طور فزاینده ای چالش برانگیز می شود زیرا سازمان های بیشتری از کد منبع باز برای توسعه ابری استفاده می کنند. بیش از دو سوم کد برنامه از وابستگیهای منبع باز به ارث رسیده است، و اعتماد به آن کد کلیدی برای تقویت امنیت برنامهها و پلتفرم است، و در نتیجه، بیشترین ارزش را از پلتفرم هماهنگسازی کانتینر به دست میآورد.
در واقع، سازمان ها نمی توانند محصولات و خدمات قابل اعتماد ایجاد کنند مگر اینکه/تا زمانی که بتوانند به کد مورد استفاده برای ساخت آنها اعتماد کنند. صورتحسابهای مواد نرمافزاری برای کمک به اطمینان از منشأ کد طراحی شدهاند، اما نباید بهصورت مجزا مورد استفاده قرار گیرند. در عوض، SBOM ها باید به عنوان بخشی از یک استراتژی چند جانبه برای ایمن سازی زنجیره تامین نرم افزار، با محتوای قابل اعتماد در هسته در نظر گرفته شوند.
بدون SBOM یک جزیره است
SBOM ها اطلاعاتی را که توسعه دهندگان برای تصمیم گیری آگاهانه در مورد مؤلفه هایی که از آنها استفاده می کنند، نیاز دارند، فراهم می کنند. این امر به ویژه مهم است زیرا توسعه دهندگان از مخازن و کتابخانه های متن باز متعدد برای ساخت برنامه ها استفاده می کنند. با این حال، وجود یک SBOM یکپارچگی را تضمین نمی کند. برای یک چیز، یک SBOM فقط به همان اندازه مفید است که به روز و قابل تأیید است. برای دیگری، فهرست کردن تمام اجزای یک نرم افزار تنها اولین قدم است. هنگامی که اجزاء را شناختید، باید تعیین کنید که آیا مشکلات شناخته شده ای برای آن مؤلفه ها وجود دارد یا خیر.
توسعه دهندگان به اطلاعات اولیه کیفیت و امنیت در مورد اجزای نرم افزاری که انتخاب می کنند نیاز دارند. ارائهدهندگان نرمافزار و مصرفکنندگان باید به طور یکسان بر ساختهای مدیریتشده و کتابخانههای منبع باز سختشدهای که با بررسیهای منشأ تأیید و تأیید شدهاند، تمرکز کنند. فناوری امضای دیجیتال نقش مهمی در حصول اطمینان از عدم تغییر یک مصنوع نرم افزاری در حین انتقال از مخزن عمومی به محیط کاربر نهایی دارد.
البته، حتی با وجود همه اینها، آسیبپذیریها اتفاق میافتد. و با توجه به تعداد زیادی آسیبپذیری شناسایی شده در سراسر مجموعه نرمافزارهایی که توسعهدهندگان نرمافزار به آنها تکیه میکنند، اطلاعات بیشتری برای کمک به تیمها برای ارزیابی تأثیر واقعی یک آسیبپذیری شناختهشده مورد نیاز است.
مسائل VEX-ing
برخی از مسائل تاثیر بیشتری نسبت به بقیه دارند. اینجاست که VEX - یا Vulnerability Exploitability eXchange - وارد میشود. از طریق یک سند VEX قابل خواندن توسط ماشین، ارائهدهندگان نرمافزار میتوانند با استفاده از سیستمهای اعلان و تجزیه و تحلیل آسیبپذیری فعال و خودکار، قابلیت بهرهبرداری از آسیبپذیریهای موجود در وابستگیهای محصولات خود را گزارش دهند.
توجه داشته باشید که VEX فراتر از ارائه داده ها و وضعیت آسیب پذیری است. همچنین شامل اطلاعات قابلیت بهره برداری است. VEX به پاسخ به این سوال کمک می کند: آیا این آسیب پذیری به طور فعال مورد سوء استفاده قرار گرفته است؟ این به مشتریان امکان می دهد تا اصلاح را اولویت بندی کرده و به طور موثر مدیریت کنند. برای مثال، چیزی مانند Log4j اقدام فوری را تضمین می کند، در حالی که یک آسیب پذیری بدون سوء استفاده شناخته شده ممکن است منتظر بماند. تصمیمات اولویت بندی اضافی را می توان بر اساس تعیین اینکه آیا بسته موجود است اما استفاده نشده یا در معرض دید قرار می گیرد، اتخاذ شود.
تصدیق: پای سوم مدفوع
علاوه بر SBOM ها و اسناد VEX، برای ایجاد اعتماد در محتوا، گواهی بسته نیز لازم است.
باید بدانید که کدی که استفاده میکنید با در نظر گرفتن اصول امنیتی ایجاد، تنظیم و ساخته شده است و با ابردادههایی که برای تأیید منشأ و محتوا نیاز دارید، ارائه میشود. هنگامی که اسناد SBOM و VEX ارائه میشوند، راهی برای ترسیم آسیبپذیریهای شناخته شده به اجزای نرمافزاری در بستهای که در حال ارزیابی هستید، بدون نیاز به اجرای اسکنر آسیبپذیری دارید. هنگامی که از امضای دیجیتال برای تأیید بستهها و ابردادههای مرتبط استفاده میشود، راهی برای تأیید عدم دستکاری محتوا در حین انتقال دارید.
نتیجه
استانداردها، ابزارها و بهترین شیوههای ذکر شده با مدل DevSecOps (و تکمیل کننده) هستند و تا حد زیادی به سمت کاهش نگرانیهای امنیتی که با سرعت سریع استقرار Kubernetes امکانپذیر است، پیش میروند.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. خودرو / خودروهای الکتریکی، کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- BlockOffsets. نوسازی مالکیت افست زیست محیطی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/cloud/kubernetes-software-supply-chain
- : دارد
- :است
- :نه
- :جایی که
- $UP
- a
- توانایی
- درباره ما
- دسترسی
- عمل
- فعالانه
- واقعی
- اضافه
- اضافی
- اطلاعات اضافی
- تراز
- به طور یکسان
- معرفی
- همچنین
- تغییر
- در میان
- an
- تحلیل
- و
- دیگر
- پاسخ
- هر
- کاربرد
- برنامه های کاربردی
- هستند
- دور و بر
- AS
- ارزیابی کنید
- مرتبط است
- At
- خودکار
- اتوماسیون
- مستقر
- BE
- بوده
- بودن
- مفید
- بهترین
- بهترین شیوه
- خارج از
- بزرگترین
- اسکناس
- هر دو
- گسترده
- ساختن
- می سازد
- ساخته
- اما
- by
- CAN
- نمی توان
- زنجیر
- چالش ها
- به چالش کشیدن
- چک
- رمز
- بیا
- می آید
- شرکت
- متمم
- اجزاء
- نگرانی
- علاقمند
- نگرانی ها
- در نظر گرفته
- مصرف کنندگان
- ظرف
- محتوا
- کنترل
- گروه شاهد
- هسته
- دوره
- ایجاد
- سرپرستی
- جاری
- مشتری
- مشتریان
- داده ها
- تاریخ
- مقدار
- تصمیم گیری
- به تاخیر افتاده
- تحویل داده
- گسترش
- طراحی
- مشخص کردن
- تعیین
- توسعه
- توسعه دهندگان
- پروژه
- دیجیتال
- سند
- مستندات
- اسناد و مدارک
- میکند
- دو
- به طور موثر
- را قادر می سازد
- پایان
- اجرای
- ایجاد کند
- مهندسی
- اطمینان حاصل شود
- حصول اطمینان از
- محیط
- به خصوص
- ارزیابی
- حتی
- مثال
- تبادل
- وجود
- تجربه
- با تجربه
- بهره برداری
- سوء استفاده قرار گیرد
- قرار گرفتن در معرض
- گسترش
- پیدا می کند
- آتش
- نام خانوادگی
- تمرکز
- برای
- یافت
- از جانب
- افزایش
- به دست آوردن
- گرفتن
- داده
- زمین
- Go
- می رود
- بزرگ
- بیشتر
- نیم
- دست
- رخ دادن
- است
- آیا
- کمک
- کمک می کند
- اما
- HTTPS
- شناسایی
- تصاویر
- فوری
- تأثیر
- مهم
- in
- حادثه
- شامل
- به طور فزاینده
- صنعت
- اطلاعات
- اطلاع
- تمامیت
- انزوا
- مسائل
- IT
- JPG
- کلید
- دانستن
- شناخته شده
- بزرگ
- بهره برداری
- کتابخانه ها
- پسندیدن
- فهرست
- log4j
- طولانی
- خاموش
- ساخته
- ساخت
- مدیریت
- نقشه
- مصالح
- ذکر شده
- متاداده
- قدرت
- ذهن
- مدل
- بیش
- اکثر
- چندگانه
- تقریبا
- نیاز
- ضروری
- اشاره کرد
- اخطار
- یادداشت برداری
- تعداد
- of
- on
- یک بار
- ONE
- فقط
- باز کن
- منبع باز
- or
- تنظیم و ارکستراسیون
- سازمان های
- دیگران
- سرعت
- بسته
- بسته
- بخش
- قطعه
- خط لوله
- محل
- سکو
- افلاطون
- هوش داده افلاطون
- PlatoData
- نقش
- سیاست
- شیوه های
- در حال حاضر
- از اصول
- اولویت بندی
- اولویت بندی
- بلادرنگ
- محصولات
- حرفه ای
- منشاء
- ارائه
- ارائه
- ارائه دهندگان
- ارائه
- عمومی
- کیفیت
- سوال
- سریع
- نسبتا
- RE
- قرمز
- ردهت
- بازتاب می دهد
- تکیه
- گزارش
- مخزن
- ضروری
- پاسخ دهندگان
- درامد
- نقش
- دویدن
- s
- امن
- امنیت
- تیم امنیت لاتاری
- به نظر می رسد
- انتخاب
- خدمات
- تنظیم
- مغازه ها
- باید
- امضا
- نرم افزار
- توسعه دهندگان نرم افزار
- برخی از
- چیزی
- منبع
- کد منبع
- خاص
- استانداردهای
- دولت
- وضعیت
- گام
- استراتژی ها
- استراتژی
- عرضه
- زنجیره تامین
- بررسی
- سیستم های
- تیم ها
- پیشرفته
- قالب
- نسبت به
- که
- La
- اطلاعات
- شان
- آنها
- آنجا.
- اینها
- آنها
- چیز
- سوم
- این
- کسانی که
- سراسر
- سفت شدن
- به
- ابزار
- بالا
- نسبت به
- عبور
- اعتماد
- مورد اعتماد
- اعتماد کردن
- دو سوم
- زیر
- استفاده کنید
- استفاده
- کاربر
- با استفاده از
- ارزش
- تایید
- بررسی
- بسیار
- از طريق
- آسیب پذیری ها
- آسیب پذیری
- آسیب پذیر
- صبر کنيد
- حکم
- مسیر..
- بود
- چه زمانی
- در حالیکه
- چه
- که
- در حین
- اراده
- با
- در داخل
- بدون
- خواهد بود
- شما
- زفیرنت